Effectuer une révision d’accès des groupes et applications dans les révisions d’accès

  • Article

En tant qu’administrateur, vous créez une révision d’accès de groupes ou d’applications tandis que les réviseurs effectuent la révision d’accès. Cet article explique comment visualiser les résultats de la révision d’accès et les appliquer.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

Prérequis

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Administrateur général, administrateur d’utilisateurs ou administrateur de gouvernance des identités pour gérer l’accès aux révisions sur les groupes et les applications. Les utilisateurs qui ont le rôle d'administrateur général ou d'administrateur de rôles privilégiés peuvent gérer les révisions des groupes auxquels des rôles peuvent être attribués, consultez Utiliser les groupes Microsoft Entra pour gérer les attributions de rôles
  • Les lecteurs Sécurité ont un accès en lecture.

Pour plus d’informations, consultez Exigences des licences.

Visualiser l’état d’une révision d’accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Vous pouvez suivre la progression des révisions d’accès à mesure qu’elles sont effectuées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Révisions d’accès.

  3. Dans la liste, sélectionnez une révision d’accès.

    Dans la page Vue d’ensemble, vous pouvez voir la progression de l’instance Actuelle de la revue. Si aucune instance active n’est ouverte à ce moment-là, vous verrez des informations sur l’instance précédente. Aucun droit d’accès n’est modifié dans le répertoire avant que la révision ne soit terminée.

    Review of All company group

    Tous les volets sous Actuelle sont visibles seulement pendant la durée de chaque instance de révision.

    Notes

    La révision d’accès Actuelle affiche seulement des informations sur l’instance de révision active, mais vous pouvez obtenir des informations sur les révisions qui doivent encore avoir lieu dans Série sous la section Révision prévue .

    La page Résultats fournit des informations supplémentaires sur chaque utilisateur révisé dans l’instance, notamment la possibilité d’arrêter, de réinitialiser et de télécharger les résultats.

    Review guest access across Microsoft 365 groups

    Si vous affichez une révision d’accès qui révise l’accès invité dans les groupes Microsoft 365, le panneau Vue d’ensemble répertorie chaque groupe dans la révision.

    review guest access across Microsoft 365 groups

    Sélectionnez un groupe pour voir la progression de la révision sur ce groupe, et pour arrêter, réinitialiser, appliquer et supprimer la révision.

    review guest access across Microsoft 365 groups in detail

  4. Si vous souhaitez arrêter une révision d’accès avant qu’elle ait atteint la date de fin planifiée, sélectionnez le bouton Arrêter.

    Lorsque vous arrêtez une révision, les réviseurs ne peuvent plus donner de réponses. Vous ne pouvez pas redémarrer une révision ayant été arrêtée.

  5. Si vous n’êtes plus intéressé par la révision d’accès, vous pouvez la supprimer en cliquant sur le bouton Supprimer.

Afficher l’état de la révision en plusieurs étapes (préversion)

Pour afficher l’état et la phase d’une révision d’accès en plusieurs étapes :

  1. Sélectionnez la révision en plusieurs étapes dont vous souhaitez vérifier l’état ou consulter l’étape à laquelle elle se trouve.

  2. Sélectionnez Résultats dans le menu de navigation gauche sous Actuel.

  3. Une fois que vous êtes dans la page des résultats, sous État, vous pourrez voir l’étape à laquelle se trouve la révision en plusieurs étapes. L’étape suivante de la révision ne devient active qu’une fois que la durée spécifiée pendant la configuration de la révision d’accès est écoulée.

  4. Si une décision a été prise, mais que la durée de la révision pour cette phase n’a pas encore expiré, vous pouvez sélectionner le bouton Arrêter la phase actuelle dans la page des résultats. Cette opération déclenche l’étape suivante de la révision.

Récupérer les résultats

Pour voir les résultats d’une révision, sélectionnez la page Résultats. Pour voir uniquement l’accès d’un utilisateur, dans la zone de recherche, tapez le nom d’affichage ou le nom d’utilisateur principal d’un utilisateur dont l’accès a été refusé.

Retrieve results for an access review

Pour visualiser les résultats d’une instance terminée d’une révision d’accès récurrente, sélectionnez Historique des révisions, puis choisissez l’instance concernée dans la liste des instances de révision d’accès terminées, en fonction des dates de début et de fin de l’instance. Vous pouvez obtenir les résultats de cette instance à partir de la page Résultats. Les révisions d’accès récurrentes vous permettent d’avoir une image constante de l’accès aux ressources qui peuvent nécessiter des mises à jour plus souvent que des révisions d’accès ponctuelles.

Pour récupérer les résultats d’une révision d’accès, en cours ou terminée, sélectionnez le bouton Télécharger. Le fichier CSV généré est consultable dans Excel ou dans d’autres programmes qui permettent d’ouvrir des fichiers CSV encodés UTF-8.

Récupérer les résultats par programmation

Vous pouvez également récupérer les résultats d’une révision d’accès à l’aide de Microsoft Graph ou de PowerShell.

Vous devez d’abord localiser l’instance de la révision d’accès. Si accessReviewScheduleDefinition est une révision d’accès périodique, les instances représentent chaque périodicité. Une révision qui ne se répète pas aura exactement une instance. Les instances représentent également chaque groupe unique en cours de révision dans la définition de planification. Si une définition de planification passe en revue plusieurs groupes, chaque groupe aura une instance unique pour chaque périodicité. Chaque instance contient une liste de décisions sur laquelle les réviseurs peuvent prendre des mesures, avec une décision par identité en cours de révision.

Une fois que vous avez identifié l’instance, pour récupérer les décisions à l’aide de Graph, appelez l’API Graph pour répertorier les décisions d’une instance. S’il s’agit d’une révision à plusieurs étapes, appelez l’API Graph pour répertorier les décisions d’une révision d’accès en plusieurs étapes. L’appelant doit être un utilisateur dans un rôle approprié avec une application disposant de l’autorisation déléguée AccessReview.Read.All ou AccessReview.ReadWrite.All, ou une application disposant de l’autorisation d’application AccessReview.Read.All ou AccessReview.ReadWrite.All. Pour plus d’informations, consultez le tutoriel sur comment passer en revue un groupe de sécurité.

Vous pouvez exécuter cette requête dans PowerShell avec le cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision issu du module Cmdlets Microsoft Graph PowerShell pour la gouvernance des identités. Notez que la taille de page par défaut de cette API est de 100 éléments de décision.

Appliquer les modifications

Si l’option Appliquer automatiquement les résultats à la ressource a été activée sur la base de vos sélections dans Paramètres de saisie semi-automatique, l’application automatique est exécutée une fois que l’instance de révision est terminée ou si vous arrêtez celle-ci manuellement.

Si l’option Appliquer automatiquement les résultats à la ressource n’a pas été activée pour la révision, accédez à Historique des révisions sous Série une fois la révision terminée ou arrêtée, puis sélectionnez l’instance de la révision que vous souhaitez appliquer.

Apply access review changes

Sélectionnez Appliquer pour appliquer les modifications. Si l’accès d’un utilisateur a été refusé dans la révision, lorsque vous sélectionnez Appliquer, Microsoft Entra supprime l’appartenance de cet utilisateur ou son attribution à l’application.

Apply access review changes button

La révision passe alors de l’état Terminé à divers états intermédiaires, comme Application en cours, pour finalement atteindre l’état Résultat appliqué. Les utilisateurs dont l’accès est refusé doivent normalement perdre leur appartenance au groupe ou leur affectation d’applications au bout de quelques minutes.

L’application manuelle ou automatique des résultats est sans effet sur un groupe provenant d’un annuaire local. Si vous souhaitez modifier un groupe qui provient d’un répertoire local, téléchargez les résultats et appliquez ces modifications à la représentation du groupe dans ce répertoire.

Notes

Les résultats ne peuvent pas être appliqués à certains utilisateurs refusés. Les scénarios où cela peut se produire sont les suivants :

  • Révision des membres d’un groupe local Windows Server AD synchronisé : si le groupe est synchronisé à partir d’un annuaire Windows Server AD local, le groupe ne peut pas être géré dans Microsoft Entra ID et l’appartenance ne peut donc pas être modifiée.
  • Révision d’une ressource (rôle, groupe, application) avec des groupes imbriqués affectés : pour les utilisateurs qui sont membres via un groupe imbriqué, nous ne supprimons pas leur appartenance au groupe imbriqué et ils conservent donc l’accès à la ressource révisée.
  • Un utilisateur introuvable ou d’autres erreurs peuvent aussi entraîner la non-prise en charge de l’application du résultat.
  • Révision des membres du groupe autorisé à recevoir du courrier : le groupe ne peut pas être géré dans Microsoft Entra ID, de sorte que l’abonnement ne peut pas être modifié.
  • L’examen d’une application qui utilise l’attribution de groupe ne supprime pas les membres de ces groupes, pour qu’ils conservent l’accès existant de la relation de groupe pour l’affectation d’application

Actions effectuées sur des utilisateurs invités refusés dans une révision d’accès

À la création de la révision, le créateur peut choisir entre deux options pour les utilisateurs invités refusés dans une révision d’accès.

  • Les utilisateurs invités refusés peuvent avoir leur accès à la ressource supprimé. Il s’agit de la valeur par défaut.
  • La connexion de l’utilisateur invité refusé peut être bloquée pendant 30 jours, puis supprimée du locataire. Pendant la période de 30 jours, l’accès de l’utilisateur invité au locataire peut être restauré par un administrateur. Une fois la période de 30 jours terminée, si l’accès de l’utilisateur invité à la ressource ne lui a pas été accordé, il sera supprimé définitivement du locataire. En outre, à l’aide du Centre d’administration Microsoft Entra, un administrateur général peut explicitement supprimer définitivement un utilisateur récemment supprimé avant que cette période n’arrive à son terme. Une fois qu’un utilisateur a été définitivement supprimé, les données sur cet utilisateur invité seront supprimées des révisions d’accès actives. Les informations d’audit relatives aux utilisateurs supprimés sont conservées dans le journal d’audit.

Actions effectuées sur les utilisateurs pour lesquels la connexion directe B2B est refusée

Les utilisateurs et les équipes pour lesquels la connexion directe B2B est refusée perdent l’accès à tous les canaux partagés de l’équipe.

Étapes suivantes